El servidor que aloja al sitio web oficial de Drupal, la popular plataforma de gestión de contenidos, ha sido comprometido. El director ejecutivo de Drupal Association reveló el miércoles, en una publicación de blog, que los atacantes tuvieron acceso a información sensible de usuarios.

El ataque fue posible debido a la existencia de una vulnerabilidad en el software de uno de los proveedores, instalado en la infraestructura de los servidores de Drupal.org, y no se trató de un problema de Drupal en sí, compartió Holly Ross.

En consecuencia, los sitios que ejecutan Drupal son seguros y solo los usuarios que tienen cuentas en los sitios drupal.org y groups.drupal.org serán obligados a cambiar sus contraseñas. El número de usuarios afectados no fue revelado, pero parece que supera el millón.

"Hemos trabajado con el proveedor para confirmar que se trata de una vulnerabilidad conocida y públicamente divulgada", escribió Ross. "Al descubrir los archivos durante una auditoría de seguridad, cerramos el sitio association.drupal.org para mitigar cualquier problema posterior relacionado con los archivos. El equipo de seguridad de Drupal dio inicio a evaluaciones forenses y descubrió que a través de esta vulnerabilidad se accedió a la información de cuentas de usuario."

La información comprometida incluye nombres de usuarios, dirección de correo, hash de contraseñas y el país de algunos usuarios, pero afirma que aún están investigando la falla, así que la lista puede no estar completa.

"Tanto el hash como la sal de las contraseñas utilizan múltiples rondas de hashing (basadas en PHPass)”, mencionó Ross y agregó que las contraseñas en algunos subsitios no utilizaron la sal. La asociación no almacena ningún tipo de información relacionada con tarjetas de crédito, por lo que no se podría haber robado este tipo de datos. Sin embargo, se aconseja a los usuarios monitorear sus cuentas financieras en caso de realizar alguna transacción en association.drupal.org o si utilizan una contraseña con su institución financiera que sea similar a su contraseña de Drupal.org.

En relación a lo que el equipo forense puede decir hasta este momento, los atacantes no han accedido a ningún proyecto o código fuente de Drupal.

Para evitar este tipo de incidentes en el futuro, los administradores reconstruyeron la producción, ejecución y desarrollo de sistemas, agregaron GRSec a la mayoría de los servidores, un conjunto de parches para el kernel de Linux que mejora la seguridad y se renovó la seguridad y configuración de su servidor web Apache. Los subsitios más antiguos y cualquier sitio que no fuese a recibir características o contenido actualizado han sido convertidos en archivos estáticos y el equipo planea agregar escaneo antivirus en sus revisiones de seguridad rutinarias.